'국가 주도' 스마트폰 해킹 수법, 2022년에 민간으로 확산할까

독재 정부 등 국가 주도(State-sponsored)의 스마트폰 해킹 수법이 민간으로 알려지면 어떻게 될까? 당연히 리버스 엔지니어링을 거쳐 사이버 범죄 지하세계로 흘러 들어갈 것이다.
 

 

‘안전한’ 뒷문은 없다

스마트폰 보안을 위한 '안전한 뒷문' 같은 것은 없다. 독재 정부는 스마트폰 플랫폼 개발자에게 안전한 뒷문을 만들라고 강요할 수 있지만 결국은 범죄자가 이를 찾아내 악용하는 방식으로 모두의 안전을 위협한다. 이들 범죄자는 정부 개발자 못지않게 똑똑하고 때에 따라서는 정부 개발자 당사자인 경우도 있다.

스마트폰 보안은 해리포터가 이용하는 기차 플랫폼 '플랫폼 9.75(Platform 9.75)'와 다르다. 정부가 승인한 해커만 들어갈 수 있는 눈에 보이지 않는 플랫폼 9.75 같은 것은 없다. 문이 존재하면 반드시 발견돼 복사되고 악용된다. 전문가들은 2022년에는 국가 주도 공격이 해킹 지하세계로 유출돼 모든 플랫폼에 보안 문제가 불붙듯 일어날 수 있다고 경고한다.
 

워치가드의 주의 권고

가장 대표적인 것이 워치가드(WatchGuard)의 2022년 사이버보안 예측, 그리고 이스라엘 NSO 집단이 사용하는 것과 같은 국가 주도 공격 방법이 유출돼 광범위하게 악용될 것이라는 전망이다.

잘 알려진 것처럼 플랫폼 업체 대부분은 이런 공격을 우려하고 있다. 특히 애플은 최근 NSO 집단과 같은 악의적인 국가 주도 행위자로부터 애플 사용자를 보호하기 위해 끊임없이 노력할 것이라고 밝혔다.

하지만, 국가 주도 해킹 기법은 플랫폼 개발자조차 손에 넣을 수 없는 대규모의 자원과 무제한의 예산으로 개발되며, 초기에는 전략적 표적을 공격하기 위해 개발된다. 이 정도로 큰 비용을 투입하고 복잡한 공격이라면 방어하기 매우 어렵다. 대부분은 공격 대상이 아니므로 걱정하지 않을 수 있지만 처음에만 그렇다. 결국은 그들도 대상이 된다.

실제로 이런 모바일 악성코드는 존재한다. 스마트폰 운영체제 개발자가 보안 부팅 등 하드웨어 및 소프트웨어 기반 방어 방식으로 사용자 보호에 힘쓰고 있지만 심각한 취약성이 심심치 않게 발견되고 악용된다.
 

만들어진 것은 발견되기 마련

정부와 마찬가지로 범죄자는 스마트폰에 저장된 정보의 막대한 가치를 잘 알고 있다. 스마트폰과 같은 디지털 기기는 한 사람의 인생 전체를 데이터화하므로, 태생적으로 상당한 가치를 가진다. 페이스북의 시가 총액이 약 1조 달러인 것은 플랫폼 때문이 아니라 페이스북 사용자에 대해 수집된 데이터 때문이다. 케임브리지 애널리티카(Cambridge Analytica)와 에드워드 스노든을 통해 우리는 이 귀중한 정보가 어떻게 일상적으로 수집되고 악용되는지 알게 됐다.

이를 고려하면 국가 역시 그러한 데이터를 손대고 싶어 한다는 것이 전혀 놀라운 일이 아니다. 단, 데이터 수집을 위해 국가가 만드는 솔루션도 다른 것과 마찬가지로 해킹과 도난과 리버스 엔지니어링이 가능하다. 게다가 많은 경우 이러한 해킹 수법의 개발은 이미 민간 영역에 속해 있다. 정부 지원 조직이 연구 자금을 지원하고 페가수스(Pegaus)와 같은 공격을 개발하는데, 이렇게 개발된 공격은 결국 유출되어 불량 국가의 손에 들어간다.

워치가드는 최신 조사에서 “안타깝게도 스턱스넷(Stuxnet) 사례처럼 더 정교한 위협이 유출되면 범죄 조직은 이를 학습해 공격 기법을 베낀다. 정부 지원 모바일 공격이 이미 드러나기 시작했기 때문에 2021년에는 정교한 사이버범죄 모바일 공격이 늘어날 것으로 보인다"라고 전망했다.
 

과잉 반응은 자제하되 반드시 대응해야

최소한 플랫폼 보안 회사 직원이 아니라면, 워치가드의 예상에 과잉 반응하지 않는 것이 중요하다. 스마트폰과 컴퓨터 사용자는 기존 개인 또는 기업 보안 강화에 힘써야 한다. 기업 운영자는 직원의 피싱 공격 분별력 강화 교육을 실시해야 한다. 표적 피싱 공격으로 시작하는 복잡한 악용 프로그램이 매우 다양하기 때문이다. 최근 변종 코로나바이러스 때문에 전 세계적으로 다시 재택근무로 돌아갈 가능성이 점점 커짐에 따라 피싱 공격에 대한 대비는 더 중요해졌다.

그 밖에 워치가드가 예측한 2022년 주요 보안 동향을 검토할 만하다. 첫째, 해커가 인공위성 공격에 나설 것이다. 둘째, 피싱 공격으로 메시징 플랫폼을 악용하려는 시도가 나타날 것이다. 셋째, 제로 트러스트 보안 모델의 배치가 가속화될 것이다. 이러한 보안 모델은 기업 전반에 사용 중인 100만 대 이상의 애플 실리콘 맥에서 현재 이용할 수 있다. 필자는 정교한 국가 주도 공격의 유출이 확산해 모두의 안전을 위협하는 상황을 가장 우려한다.
 

다음 표적은 우리 회사?

이러한 상황은 당연히 소비자 사용자에게 영향을 미친다. 하지만, 랜섬웨어 공격이 증가한 것에서 알 수 있듯이 범죄자는 돈이 있는 곳으로 간다. 이러한 국가 주도 악용 프로그램이 유출되거나 리버스 엔지니어링 되면 첫 번째 표적은 개인이나 가족이 아닌 기업이 될 공산이 크다.

모든 기업이 애플처럼 NSA와 같은 정부 지원 집단의 행동에 적극적으로 대응해야 하는 이유다. 이미 파도가 높은 데 보안 취약성 물결까지 높아지면 모든 배가 난파할 수 있다. 그러면 불확실성이 커지고 회복은 어려워지며 인명 피해가 생긴다. 다시 한번 강조하지만 '안전한 뒷문'은 없다. 눈에 보이지 않는 플랫폼도 없다. 모두가 안전하기 전까지는 아무도 안전하지 않다. editor@itworld.co.kr